Skip to main content

Sīkdatņu atbilstības kontrolsaraksts: 25 punkti līdz pilnīgai atbilstībai

Sīkdatņu atbilstība ietver tehnisku ieviešanu, juridisku dokumentāciju un pastāvīgus operatīvos procesus. Trūkstot kaut vienam elementam, var rasties neatbilstība, pat ja viss pārējais ir kārtībā. Šis strukturētais 25 punktu kontrolsaraksts aptver katru sīkdatņu atbilstības aspektu saskaņā ar GDPR, ePrivacy Directive un lielākajiem starptautiskajiem privātuma likumiem. Izmantojiet to gan kā ieviešanas ceļvedi, gan kā regulāru auditēšanas rīku.

Sīkdatņu inventarizācija

Nevar pārvaldīt to, kas nav izmērīts. Pilnīga un precīza sīkdatņu inventarizācija ir pamats ikvienai citai atbilstības darbībai.

  1. Visas sīkdatnes identificētas un dokumentētas

    Katrai sīkdatnei, ko iestata jūsu vietne, jābūt identificētai, tostarp sīkdatnēm, ko iestata trešo pušu skripti, iegultais saturs un dinamiski ielādēti resursi. Izmantojiet automatizētu skenēšanu, lai nodrošinātu pilnīgu pārklājumu visās lapās, ne tikai sākumlapā. Jūsu inventarizācijā jāiekļauj HTTP sīkdatnes, localStorage ieraksti, sessionStorage ieraksti un jebkuri citi klienta puses uzglabāšanas mehānismi, ko izmanto izsekošanai.

  2. Katra sīkdatne pareizi kategorizēta

    Katra sīkdatne jāpiešķir pareizajai atbilstības kategorijai: obligāti nepieciešamā, funkcionālā, analītikas/veiktspējas vai mārketinga/reklāmas. Kategorizācijai jābūt godīgai — sīkdatni, kas izseko lietotājus reklāmas nolūkos, nevar kategorizēt kā "funkcionālu" tikai tāpēc, ka tā sniedz arī zināmu funkcionālu labumu. Šaubu gadījumā piemērojiet stingrāko kategoriju. Datu aizsardzības iestādes rūpīgi pārbauda kategorizāciju, un nepareiza kategorizācija ir viens no biežākajiem konstatējumiem izpildes darbībās.

  3. Trešo pušu sīkdatnes identificētas kopā ar pakalpojumu sniedzējiem

    Katrai trešās puses sīkdatnei jūsu vietnē dokumentējiet, kurš pakalpojums to iestata, kāpēc tā atrodas jūsu vietnē un kādus datus tā vāc vai kopīgo. Bieži sastopami trešo pušu sīkdatņu avoti ir analītikas platformas (Google Analytics, Adobe Analytics), reklāmas tīkli (Google Ads, Meta Pixel, LinkedIn Insight Tag), sociālo mediju logrīki, video iegultnes (YouTube, Vimeo), tērzēšanas rīki (Intercom, Drift) un A/B testēšanas platformas (Optimizely, VWO). Ar katru trešās puses pakalpojumu sniedzēju jābūt noslēgtam datu apstrādes līgumam.

  4. Sīkdatņu darbības ilgums dokumentēts

    Fiksējiet katras sīkdatnes derīguma termiņu. Sesijas sīkdatnes beidzas, kad pārlūkprogramma tiek aizvērta. Pastāvīgajām sīkdatnēm ir noteikts darbības laiks, kas jādokumentē (piemēram, 30 dienas, 1 gads, 2 gadi). Saskaņā ar GDPR datu minimizēšanas un uzglabāšanas ierobežojuma principiem sīkdatņu darbības ilgumam jābūt samērīgam ar to mērķi. Analītikas sīkdatni, kas saglabājas 10 gadus, būtu grūti pamatot. CNIL iesaka analītikas sīkdatnēm maksimālo termiņu 13 mēneši.

  5. Sīkdatņu mērķi dokumentēti vienkāršā valodā

    Katras sīkdatnes mērķis jāapraksta valodā, ko var saprast tipisks vietnes apmeklētājs. "Šī sīkdatne saglabā unikālu identifikatoru, lai izsekotu jūsu pārlūkošanas aktivitāti mūsu vietnē vietnes analītikas nolūkos" ir skaidrs. "_ga: Izmanto Google Analytics lietotāju atšķiršanai" nav pietiekami vairumam lietotāju. Mērķa aprakstam jāatbild uz jautājumu: "Ko šī sīkdatne dara, un kāpēc man to atļaut?"

Piekrišanas mehānisms

Piekrišanas mehānisms ir vieta, kur juridiskās prasības satiekas ar tehnisko ieviešanu. Tā pareiza izpilde ir vissvarīgākais — un visbiežāk neizpildītais — sīkdatņu atbilstības aspekts.

  1. Piekrišana iegūta PIRMS neobligātu sīkdatņu iestatīšanas

    Šī ir vissvarīgākā tehniskā prasība. Nekādas analītikas, reklāmas vai citas neobligātas sīkdatnes nedrīkst iestatīt, kamēr lietotājs nav sniedzis apstiprinošu piekrišanu. Tas nozīmē, ka trešo pušu skriptu ielādei jābūt bloķētai, līdz tiek saņemta piekrišana. Vienkārša sīkdatņu dzēšana pēc fakta nav atbilstoša — ePrivacy Directive prasa piekrišanu pirms uzglabāšanas, nevis retroaktīvu noņemšanu. Pārbaudiet to, apmeklējot savu vietni inkognito logā un pārbaudot, kuras sīkdatnes tiek iestatītas pirms mijiedarbības ar reklāmkarogu.

  2. Skripti bloķēti līdz piekrišanas sniegšanai

    Sīkdatņu bloķēšana nav pietiekama — jānovērš, lai skripti, kas tās iestata, netiktu izpildīti. Skripts, kas ielādējas un tiek izpildīts, bet kuram ir liegts ierakstīt sīkdatni, joprojām var vākt un pārsūtīt datus (izmantojot pikseļus, bākas vai API izsaukumus). Jūsu piekrišanas pārvaldībai jānovērš paša skripta ielāde, līdz ir pieņemta atbilstošā piekrišanas kategorija. Bieži sastopamas ieviešanas pieejas ietver skriptu tagu type atribūta maiņu (piemēram, no text/javascript uz text/plain) un skriptu dinamisku ievietošanu pēc piekrišanas.

  3. Pieņemšanas un noraidīšanas pogas vienlīdz uzskatāmas

    Iespēja noraidīt neobligātas sīkdatnes jāpiedāvā tikpat uzskatāmi kā iespēja tās pieņemt. Tas nozīmē vienādu vizuālo noformējumu: vienādu izmēru, vienādu krāsu intensitāti, vienādu saskarnes slāni. Liela zaļa poga "Pieņemt visu" blakus mazai pelēkai saitei "Pārvaldīt iestatījumus" nenodrošina vienlīdzīgu uzskatāmību. CNIL, Garante un vairākas citas datu aizsardzības iestādes ir izsniegušas sodus tieši par šo problēmu. Abām iespējām jāatrodas sīkdatņu reklāmkaroga pirmajā slānī, neprasot papildu klikšķus.

  4. Pieejama detalizēta kategoriju līmeņa piekrišana

    Lietotājiem jāspēj neatkarīgi piekrist konkrētām sīkdatņu kategorijām. Analītikas sīkdatņu pieņemšana nedrīkst prasīt arī reklāmas sīkdatņu pieņemšanu. Vismaz nodrošiniet atsevišķus pārslēgšanas slēdžus: obligāti nepieciešamajām (vienmēr ieslēgtas, nepārslēdzamas), funkcionālajām, analītikas/veiktspējas un mārketinga/reklāmas. Ja izmantojat sīkdatnes vairākiem atšķirīgiem mērķiem vienas kategorijas ietvaros, apsveriet vēl detalizētāku iespēju nodrošināšanu.

  5. Nav iepriekš atzīmētu izvēles rūtiņu

    Kad lietotājs atver detalizētos sīkdatņu iestatījumus, visām neobligātajām kategorijām pēc noklusējuma jābūt neatzīmētām. Tikai obligāti nepieciešamās sīkdatnes (kurām nav nepieciešama piekrišana) var būt iepriekš iespējotas. EST apstiprināja Planet49 spriedumā (lieta C-673/17), ka iepriekš atzīmētas izvēles rūtiņas nav derīga piekrišana. Tas attiecas neatkarīgi no tā, vai lietotājs var tās atzīmēt — noklusējuma stāvoklim jābūt atteikšanās, prasot apstiprinošu darbību, lai pieteiktos.

  6. Piekrišanas atsaukšana tikpat vienkārša kā tās sniegšana

    GDPR 7. panta 3. punkts prasa, lai piekrišanas atsaukšana būtu tikpat vienkārša kā tās sniegšana. Ja lietotājs var pieņemt sīkdatnes ar vienu klikšķi uz reklāmkaroga, viņam jāspēj atsaukt piekrišanu ar līdzvērtīgu vieglumu. Labākā prakse ir pastāvīga, vienmēr redzama saite vai ikona (piemēram, kājenē vai kā peldoša poga), kas atver sīkdatņu iestatījumu centru, kur lietotājs var mainīt vai atsaukt savas izvēles. Prasot lietotājam notīrīt pārlūka sīkdatnes, doties uz apslēptu iestatījumu lapu vai sazināties ar atbalstu, šis standarts netiek izpildīts.

  7. Piekrišanas ieraksti saglabāti ar laika zīmogiem

    Jums jāspēj pierādīt, ka piekrišana tika sniegta. Saglabājiet katras piekrišanas darbības ierakstu, tostarp: laika zīmogu, veiktās piekrišanas izvēles (kuras kategorijas tika pieņemtas/noraidītas), tobrīd spēkā esošo sīkdatņu reklāmkaroga un politikas versiju un unikālu piekrišanas identifikatoru (anonīmiem apmeklētājiem ne vienmēr saistītu ar lietotāja kontu). Saskaņā ar GDPR pārskatatbildības principu pierādīšanas pienākums par piekrišanu gulstas uz pārzini. Ja nevarat uzrādīt pierādījumus, ka konkrēts lietotājs ir piekritis, viņa piekrišana faktiski nav pierādīta.

Sīkdatņu politika

Jūsu sīkdatņu politika ir gan juridisks dokuments, gan pārredzamības rīks. Tai jābūt precīzai, pilnīgai un saprotamai.

  1. Sīkdatņu politika pastāv un ir pieejama

    Jāpastāv atsevišķai sīkdatņu politikai (vai skaidrai sīkdatņu sadaļai jūsu privātuma politikā), kurai jābūt viegli atrodamai. Labākā prakse ir atsevišķa lapa, uz kuru ir saite jūsu vietnes kājenē, sīkdatņu reklāmkarogā un galvenajā privātuma politikā. Politikai jābūt pieejamai, nepieņemot sīkdatnes — lietotājiem jāspēj to izlasīt pirms piekrišanas lēmuma pieņemšanas.

  2. Visas sīkdatnes uzskaitītas ar nosaukumiem, mērķiem, veidiem un ilgumu

    Jūsu sīkdatņu politikā jāiekļauj tabula vai strukturēts saraksts ar katru sīkdatni, ko iestata jūsu vietne, tostarp: sīkdatnes nosaukums, kas to iestata (pirmās puses vai trešās puses pakalpojumu sniedzējs), ko tā dara (vienkāršā valodā), vai tā ir sesijas vai pastāvīgā sīkdatne un cik ilgi tā darbojas. Tas nav neobligāti — tā ir tieša prasība saskaņā ar GDPR pārredzamības noteikumiem (12.–14. pants) un ePrivacy Directive informētas piekrišanas prasību.

  3. Trešo pušu pakalpojumu sniedzēji identificēti

    Jūsu politikā jānorāda trešo pušu pakalpojumi, kas iestata sīkdatnes jūsu vietnē. "Mēs izmantojam trešo pušu analītikas sīkdatnes" nav pietiekami. "Mēs izmantojam Google Analytics (no Google LLC), kas iestata šādas sīkdatnes: _ga, _gid, _gat" ir pareizi. Lietotājiem ir tiesības zināt, kas vāc datus par viņiem, un pieņemt informētus lēmumus par katru pakalpojumu sniedzēju.

  4. Iekļautas instrukcijas sīkdatņu pārvaldībai

    Jūsu politikai jāizskaidro, kā lietotāji var pārvaldīt savas sīkdatņu izvēles, tostarp: kā piekļūt jūsu sīkdatņu iestatījumu centram, lai mainītu piekrišanas izvēles, kā dzēst esošās sīkdatnes, izmantojot pārlūka iestatījumus, un saites uz galveno trešo pušu sīkdatņu pakalpojumu sniedzēju privātuma politikām. Lai gan pārlūka līmeņa sīkdatņu pārvaldība ir lietotāja atbildība, skaidru instrukciju sniegšana apliecina labticību un atbalsta lietotāju iespēju stiprināšanas principu.

  5. Politika datēta un regulāri atjaunināta

    Jūsu sīkdatņu politikā jāiekļauj tās pēdējās atjaunināšanas datums. Ikreiz, kad pievienojat jaunas sīkdatnes, noņemat sīkdatnes, maināt trešo pušu pakalpojumu sniedzējus vai modificējat sīkdatņu mērķus, politika jāatjaunina, lai atspoguļotu izmaiņas. Nedatēta politika vai tāda, kas nav atjaunināta vairāk nekā gadu, ir trauksmes signāls datu aizsardzības iestādēm. Labākā prakse: integrējiet savus sīkdatņu skenēšanas rezultātus ar savu politiku, lai politika tiktu atjaunināta automātiski, kad tiek atklātas jaunas sīkdatnes.

Sīkdatņu reklāmkarogs

Sīkdatņu reklāmkarogs ir jūsu piekrišanas pārvaldības redzamā saskarne. Tam jālīdzsvaro juridiskā atbilstība ar lietojamību.

  1. Reklāmkarogs tiek parādīts pirmajā apmeklējumā pirms sīkdatņu iestatīšanas

    Sīkdatņu reklāmkarogam jāparādās, kad lietotājs pirmoreiz apmeklē jūsu vietni, pirms tiek iestatītas jebkādas neobligātas sīkdatnes. Reklāmkarogam jābūt uzreiz redzamam bez ritināšanas, to nedrīkst viegli aizvērt ar nejaušiem klikšķiem, un tam jāsaglabājas, līdz lietotājs izdara aktīvu izvēli. Reklāmkarogs nedrīkst traucēt lietotāja spēju pamest lapu vai piekļūt būtiskam saturam (lai gan dažās jurisdikcijās var būt pieļaujams ierobežot piekļuvi saturam, prasot piekrišanu, drošāka pieeja ir atļaut navigāciju, kamēr tiek parādīts reklāmkarogs).

  2. Reklāmkarogs ir pieejams (pārvaldāms ar tastatūru, saderīgs ar ekrāna lasītāju)

    Jūsu sīkdatņu reklāmkarogam pašam jābūt pieejamam. Tas nozīmē: visiem interaktīvajiem elementiem (pogām, pārslēgšanas slēdžiem, saitēm) jābūt sasniedzamiem un lietojamiem ar tastatūru; reklāmkarogam jābūt pareizi paziņotam ekrāna lasītājiem ar atbilstošiem ARIA atribūtiem; fokuss jāpārvalda pareizi (fokusam jāpārvietojas uz reklāmkarogu, kad tas parādās, un jāatgriežas uz lapu, kad tas tiek aizvērts); krāsu kontrastam jāatbilst WCAG 2.1 AA standartiem (4,5:1 parastam tekstam, 3:1 lielam tekstam); un reklāmkarogam jābūt lietojamam dažādos tālummaiņas līmeņos un ekrāna izmēros. Nepieejams sīkdatņu reklāmkarogs ir gan juridisks risks (WCAG atbilstības neizpilde), gan reputācijas risks jebkurai organizācijai, kas apgalvo, ka rūpējas par privātumu un iekļaušanu.

  3. Reklāmkarogā ir saite uz pilnu sīkdatņu politiku

    Sīkdatņu reklāmkarogā jāiekļauj saite uz jūsu pilno sīkdatņu politiku, ļaujot lietotājiem izlasīt detalizētu informāciju par katru sīkdatni pirms piekrišanas lēmuma pieņemšanas. Saitei jābūt skaidri redzamai un ar apzīmējumu (piemēram, "Lasīt mūsu sīkdatņu politiku" vai "Uzzināt vairāk"). GDPR prasa, lai piekrišana būtu "informēta", kas nozīmē, ka informētam lēmumam nepieciešamajai informācijai jābūt pieejamai piekrišanas brīdī.

  4. Reklāmkarogs neizmanto tumšos rakstus

    Tumšie raksti (dark patterns) sīkdatņu reklāmkarogos apdraud piekrišanas derīgumu. Izvairieties no: pieņemšanas pogas vizuālas dominēšanas (lielākas, spilgtākas, uzskatāmākas), kamēr noraidīšanas iespēja tiek padarīta neuzkrītoša vai paslēpta; mulsinošas valodas ("Pieņemt ieteiktos iestatījumus" skaidru iespēju vietā); prasības veikt vairāk klikšķu, lai noraidītu, nekā lai pieņemtu; krāsu kodēšanas, kas norāda, ka noraidīšana ir nepareiza (sarkans noraidīšanai, zaļš pieņemšanai); "apkaunojošas" valodas izmantošanas ("Nē, man nerūp mana pieredze"); un jebkura cita dizaina, kas pamudina, manipulē vai maldina lietotājus uz pieņemšanu. EDAK Vadlīnijas par tumšajiem rakstiem (pieņemtas 2023. gada februārī) sniedz detalizētus aizliegto prakšu piemērus.

Tehniskā un pastāvīgā uzturēšana

Sīkdatņu atbilstība nav projekts ar pabeigšanas datumu. Tas ir nepārtraukts operatīvs process.

  1. Ieviests Google Consent Mode v2 (ja izmantojat Google pakalpojumus)

    Ja izmantojat jebkurus Google pakalpojumus (Analytics, Ads, Tag Manager), Google Consent Mode v2 ir obligāts no 2024. gada marta reklāmu rādīšanai EEZ. Consent Mode paziņo jūsu lietotāju sīkdatņu piekrišanas izvēles Google tagiem, pielāgojot to darbību atkarībā no piekrišanas statusa. Bez Consent Mode Google tagi var nedarboties pareizi ar jūsu piekrišanas pārvaldības platformu, radot vai nu datu zudumu (tagi pilnībā bloķēti), vai atbilstības pārkāpumus (tagi aktivizējas bez piekrišanas). Ieviesiet gan ad_storage, gan analytics_storage piekrišanas parametrus un nodrošiniet, ka tie pēc noklusējuma ir "denied", līdz tiek sniegta piekrišana.

  2. Ieplānota regulāra sīkdatņu skenēšana

    Iestatiet automatizētu sīkdatņu skenēšanu pēc regulāra grafika. Vismaz skenējiet reizi mēnesī. Ideālā gadījumā integrējiet skenēšanu savā izvēršanas procesā, lai katrs laidiens tiktu skenēts automātiski. Konfigurējiet brīdinājumus par jaunām vai mainītām sīkdatnēm, lai jūsu komanda tās varētu ātri novērtēt un kategorizēt. Skenēšana, kas tiek veikta, bet nekad netiek pārskatīta, nesniedz nekādu atbilstības labumu.

  3. Process jaunu trešo pušu skriptu pārskatīšanai

    Izveidojiet formālu procesu, kas jāievēro pirms jebkura jauna trešās puses skripta, spraudņa vai pakalpojuma pievienošanas jūsu vietnei. Procesā jāiekļauj: skripta iestatīto sīkdatņu identificēšana, šo sīkdatņu kategorizēšana, piekrišanas pārvaldības konfigurācijas atjaunināšana, lai tās iekļautu, sīkdatņu politikas atjaunināšana un pārbaude, vai skripts ir pareizi bloķēts, līdz tiek sniegta atbilstoša piekrišana. Šajā procesā jāiesaista gan tehniskā (izstrādes), gan atbilstības (juridiskā/privātuma) pārskatīšana. Visbiežākais sīkdatņu atbilstības neizpildes cēlonis ir jaunu skriptu pievienošana vietnei, neveicot privātuma pārbaudi.

  4. Personāls apmācīts par sīkdatņu atbilstību

    Ikvienam, kas iesaistīts jūsu vietnē — izstrādātājiem, mārketinga speciālistiem, satura veidotājiem un vadītājiem — jāsaprot sīkdatņu atbilstības pamati un sava loma tās uzturēšanā. Izstrādātājiem jāzina, kā pievienot skriptus piekrišanu ņemošā veidā. Mārketinga speciālistiem jāsaprot, ka jauna izsekošanas pikseļa pievienošana prasa atbilstības pārbaudi. Satura veidotājiem jāzina, ka YouTube video iegulšana ievieš trešo pušu sīkdatnes. Apmācībai nav jābūt plašai, taču tai jāaptver galvenais princips: nekāda jauna izsekošana bez pārbaudes. Viens neapmācīts komandas dalībnieks, kas pievieno mārketinga skriptu, neveicot pārbaudes procesu, var izjaukt mēnešiem ilgu atbilstības darbu.

Šī kontrolsaraksta izmantošana

Šis kontrolsaraksts ir izstrādāts izmantošanai trīs veidos:

  • Sākotnējā ieviešana: Secīgi izejiet cauri visiem 25 punktiem, pirmoreiz iestatot sīkdatņu atbilstību. Neizlaidiet punktus un neatstājiet tos vēlākam laikam — daļēja atbilstība joprojām ir neatbilstība.
  • Regulārs audits: Pārskatiet kontrolsarakstu reizi ceturksnī, lai pārbaudītu, vai visi punkti joprojām ir izpildīti. Īpašu uzmanību pievērsiet pastāvīgās uzturēšanas punktiem (22.–25. punkts), jo tie visdrīzāk laika gaitā novirzīsies.
  • Pēc izmaiņām: Ikreiz, kad jūsu vietnē notiek būtiskas izmaiņas (jaunas funkcijas, jauni trešo pušu pakalpojumi, pārveidojums, CMS migrācija), izejiet cauri attiecīgajām kontrolsaraksta sadaļām, lai pārbaudītu, vai atbilstība tiek saglabāta.

Sīkdatņu atbilstība ir sasniedzama. Tā prasa uzmanību un procesu, taču neviena no atsevišķajām prasībām nav nesamērīgi sarežģīta. Organizācijas, kurām rodas grūtības, parasti ir tās, kas atbilstību uztver kā vienreizēju projektu, nevis pastāvīgu operatīvu jautājumu. Iestrādājiet to savā darba plūsmā, piešķiriet skaidru atbildību un izmantojiet šo kontrolsarakstu kā savu regulāro pārbaudes rīku.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas